4. 安全考虑 (Security Considerations)
YANG模块在本文档中使用"config true"定义,这是可写/可创建/可删除的(即它们提供对配置信息的写入访问)。
敏感的可写数据节点
这些数据节点可能被视为敏感或易受攻击,在某些网络环境中需要特别考虑:
- 写入访问权限应仅授予可信实体
- 应实施适当的访问控制机制
NETCONF访问控制
建议实现"网络配置访问控制模型"(NACM)[RFC8341]:
- 限制对特定NETCONF或RESTCONF用户对特定预配置操作的访问
- 提供细粒度的访问控制策略
攻击面分析
未授权访问风险
如果未经授权的用户能够访问:
- 可能修改段路由配置
- 可能导致流量路由错误
- 可能造成网络服务中断
潜在攻击向量
-
SRGB配置篡改:
- 可能导致标签冲突
- 影响全网段路由功能
-
映射服务器策略修改:
- 可能导致流量被误导
- 影响特定前缀的可达性
-
TI-LFA配置破坏:
- 可能移除快速重路由保护
- 增加故障恢复时间
保护机制建议
- 强认证: 使用强认证机制保护管理接口
- 传输层安全: 使用TLS/SSH加密管理流量
- 审计日志: 记录所有配置变更操作
- 最小权限原则: 仅授予必需的最小权限
5. IANA考虑 (IANA Considerations)
YANG模块名称注册
IANA已在"YANG模块名称"注册表[RFC6020]中注册以下URI:
URI: urn:ietf:params:xml:ns:yang:ietf-isis-sr-mpls
Registrant Contact: IS-IS工作组 ([email protected])
XML: N/A; 请求的URI是一个XML命名空间
YANG模块注册
本文档在"YANG模块名称"注册表[RFC6020]中注册以下YANG模块:
Name: ietf-isis-sr-mpls
Namespace: urn:ietf:params:xml:ns:yang:ietf-isis-sr-mpls
Prefix: isis-sr-mpls
Reference: RFC 9902
6. 参考文献 (References)
6.1. 规范性参考文献 (Normative References)
-
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997.
-
[RFC6020] Bjorklund, M., Ed., "YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF)", RFC 6020, DOI 10.17487/RFC6020, October 2010.
-
[RFC6991] Schoenwaelder, J., Ed., "Common YANG Data Types", RFC 6991, DOI 10.17487/RFC6991, July 2013.
-
[RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language", RFC 7950, DOI 10.17487/RFC7950, August 2016.
-
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017.
-
[RFC8341] Bierman, A. and M. Bjorklund, "Network Configuration Access Control Model", STD 91, RFC 8341, DOI 10.17487/RFC8341, March 2018.
-
[RFC8349] Lhotka, L., Lindem, A., and Y. Qu, "A YANG Data Model for Routing Management (NMDA Version)", RFC 8349, DOI 10.17487/RFC8349, March 2018.
-
[RFC8667] Previdi, S., Ed., Ginsberg, L., Ed., Filsfils, C., Bashandy, A., Gredler, H., and B. Decraene, "IS-IS Extensions for Segment Routing", RFC 8667, DOI 10.17487/RFC8667, December 2019.
-
[RFC9130] Litkowski, S., Ed., Yeung, D., Lindem, A., Zhang, J., and L. Lhotka, "YANG Data Model for the IS-IS Protocol", RFC 9130, DOI 10.17487/RFC9130, October 2022.
6.2. 信息性参考文献 (Informative References)
-
[RFC8340] Bjorklund, M. and L. Berger, Ed., "YANG Tree Diagrams", BCP 215, RFC 8340, DOI 10.17487/RFC8340, March 2018.
-
[RFC8660] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing with the MPLS Data Plane", RFC 8660, DOI 10.17487/RFC8660, December 2019.
-
[RFC8661] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., and S. Litkowski, "Segment Routing MPLS Interworking with LDP", RFC 8661, DOI 10.17487/RFC8661, December 2019.